Ngày 10 tháng 6 năm 202177vin, Hội đồng Nhân dân Thường vụ Quốc hội lần thứ 13 đã thông qua Luật An Toàn Dữ Liệu của Cộng hòa Nhân dân Trung Hoa (sau đây gọi tắt là Luật An Toàn Dữ Liệu). Luật An Toàn Dữ Liệu gồm 55 điều, chia thành bảy chương: Quy định chung, An toàn và Phát triển Dữ Liệu, Hệ thống An toàn Dữ Liệu, Nghĩa vụ Bảo vệ An toàn Dữ Liệu, An toàn và Mở Rộng Dữ Liệu Chính phủ, Trách nhiệm pháp lý và Phụ lục. Luật này sẽ quy định hành vi và hướng dẫn cho các tổ chức và cá nhân thực hiện hoạt động dữ liệu tại Trung Quốc.

Để làm rõ hơn những tác động sâu sắc mà Luật An Toàn Dữ Liệu có thể mang lại cho các bên tham gia vào hoạt động dữ liệukqbd truc tuyen, bài viết này sẽ phân tích chi tiết nội dung của Luật An Toàn Dữ Liệu từ từng khâu trong vòng đời dữ liệu, đồng thời đưa ra quan điểm của Công Ty TNHH Toàn Tri Thức về hệ thống quản trị an toàn dữ liệu quốc gia cũng như việc doanh nghiệp xây dựng hệ thống bảo vệ an toàn dữ liệu.

Vì bài giải đọc sâu có độ dài dàikeonhacai tv, Công Ty Toàn Tri sẽ chia thành " Trên, Giữa, Dưới " ba bài viết để trình bày:

Giải Đọc Sâu An Toàn Dữ Liệu (Trên): Yêu Cầu Về Quản Trị An Toàn Dữ Liệu Của Nhà Nước
Giải Đọc Sâu An Toàn Dữ Liệu (Giữa): Thực Thi Giám Sát Và Con Đường Phát Triển An Toàn Dữ Liệu Cho Doanh Nghiệp
Giải Đọc Sâu An Toàn Dữ Liệu (Dưới): Giải Pháp An Toàn Dữ Liệu Đa Dạng Của Công Ty Toàn Tri

Mời mọi người Tiếp Tục Theo Dõi Cập Nhật Của Kênh Công Ty Toàn Tri.

Trước Hết Luật An Toàn Dữ Liệu lần đầu tiên đưa ra định nghĩa rõ ràng về dữ liệukeonhacai tv, hoạt động dữ liệu và an toàn dữ liệu trên góc độ pháp luật. Luật xác định rõ đối tượng quản trị an toàn dữ liệu của doanh nghiệp, thiết lập phạm vi giám sát và thực thi pháp luật của nhà nước về an toàn dữ liệu, tạo cơ sở và tiêu chuẩn để phát triển lâu dài về an toàn dữ liệu ở Trung Quốc.

Thứ Hai Luật An Toàn Dữ Liệu nhấn mạnh tầm quan trọng của nền kinh tế dữ liệu và sự cân bằng động giữa nó với an toàn dữ liệu. Điều 7 của Luật khẳng định đặc tính quan trọng của lưu thông dữ liệukeonhacai tv, ghi nhận giá trị của việc dữ liệu được lưu thông một cách có trật tự và tự do. Thông qua việc thực hiện chiến lược tổng thể về dữ liệu lớn của quốc gia, xây dựng cơ sở hạ tầng dữ liệu, thúc đẩy ứng dụng đổi mới dữ liệu trong mọi lĩnh vực, hỗ trợ công nghệ mới trong việc khai thác và sử dụng dữ liệu, cũng như chính sách hỗ trợ kế hoạch phát triển kinh tế dữ liệu, Luật đã đặt nền tảng vững chắc cho vị trí cốt lõi của nền kinh tế dữ liệu trong nền kinh tế quốc dân, thúc đẩy vai trò không thể thay thế của dữ liệu như yếu tố sản xuất quan trọng trong quá trình sản xuất, đồng thời khẳng định rằng dữ liệu là đối tượng cần được bảo vệ an toàn.

Trong thời đại dữ liệu lớnkqbd truc tuyen, bất kỳ doanh nghiệp nào hoặc đang thực hiện hoạt động kinh doanh đều cần dựa vào dữ liệu như một phương tiện truyền tải thông tin, đáp ứng nhu cầu kinh doanh và thực hiện chức nă

Và dữ liệu là yếu tố sản xuấtkeonhacai tv, cần có ba đặc điểm:

(1) Dữ liệu tham gia vào quá trình sản xuất và tạo ra giá trị. Dữ liệu tham gia vào quá trình gia tăng giá trị và không thể bị hủy bỏ (có thể được thay thế nhưng có lợi thế về chi phí so với các giải pháp thay thế); để tham gia vào quá trình sản xuấtkeonhacai tv, vật thể đó có thể cần phải thu thập và xử lý ban đầu (tốn một khoản chi phí nhất định) để có thể tham gia hiệu quả hơn vào sản xuất và sử dụng, nếu cần thiết thì cần xây dựng hệ thống dự trữ.

(2) Dữ liệu có thuộc tính quyền sở hữu. Nghĩa là dữ liệu có một mức chi phí thu thập nhất định. Giống như các yếu tố sản xuất khác như đất đaikqbd truc tuyen, lao động, công nghệ và vốn, dữ liệu càng khan hiếm thì chi phí thu thập càng cao.

(3) Dữ liệu có đặc tính lưu thông. Bản thân dữ liệu không có giá trịkeonhacai tv, chỉ khi được lưu thông và tham gia vào quá trình sản xuất xã hội, mới tạo ra giá trị.

Đối với doanh nghiệpkqbd truc tuyen, dữ liệu cũng là một trong những yếu tố sản xuất quan trọng nhất để duy trì hoạt động sản xuất và Do đó, Luật An Toàn Dữ Liệu đã đưa ra một số yêu cầu cơ bản đối với doanh nghiệp. Chỉ khi đáp ứng các yêu cầu này, dữ liệu mới có thể phát huy tối đa hiệu quả. Để làm rõ hơn các yêu cầu của Luật An Toàn Dữ Liệu đối với doanh nghiệp, Bài viết này sẽ phân tích theo toàn bộ vòng đời của việc lưu thông dữ liệu.

cần thiết tối thiểu Điều 32 của Luật An toàn Dữ liệu )77vin, đặc biệt là các tổ chức dịch vụ trung gian giao dịch dữ liệu, cần yêu cầu bên cung cấp dữ liệu xác minh nguồn gốc dữ liệu, kiểm tra danh tính của cả hai bên giao dịch, và lưu giữ hồ sơ kiểm tra và giao dịch. Điều 33 của Luật An toàn Dữ liệu ）。

Những yêu cầu này có nghĩa là doanh nghiệp cần có cái nhìn rõ ràng về toàn bộ tình hình dữ liệu mà họ thu thậpkeonhacai tv, đặc biệt là loại dữ liệu nhạy cảm hiện tại, số lượng, cũng như các API và ứng dụng được sử dụng để thu thập và truyền tải dữ liệu nhạy cảm. Xác định nguồn dữ liệu và bên nhận dữ liệu 。

Chỉ khi xác định rõ nguồn dữ liệu và bên nhận dữ liệukqbd truc tuyen, doanh nghiệp mới có thểĐánh giá nguồn dữ liệu một cách cụ thểkeonhacai tv, sau đó kiểm soát nóThực hiện công tác thu thập dữ liệu trong phạm vi pháp luật cho phép. Ví dụ77vin, tiến hành kiểm tra kỹ lưỡng nguồn dữ liệu bên thứ ba, kiểm tra ngẫu nhiên các hồ sơ đồng ý của chủ thể thông tin cá nhân mà bên thứ ba thu thập, hoặc ký thỏa thuận cam kết về tính hợp pháp và chính đáng của nguồn dữ liệu với nhà cung cấp dữ liệu bên thứ ba.

Sau khi thu thậpkeonhacai tv, dữ liệu sẽ được làm sạch và lưu trữ vào cơ sở dữ liệu (ví dụ như dữ liệu cấu trúc hóa). Tùy theo mức độ nhạy cảm, dữ liệu sẽ được bảo vệ ở các cấp độ khác nhau. Nếu không bảo vệ dữ liệu lưu trữ một cách thích hợp, có thể xảy ra sự cố an toàn dữ liệu. Ví dụ, nếu lưu trữ dữ liệu nhạy cảm dưới dạng văn bản thường, thì khi cơ sở dữ liệu bị xâm nhập, tất cả dữ liệu nhạy cảm sẽ bị lộ trực tiếp. Hoặc, doanh nghiệp có tuân thủ yêu cầu giám sát để lưu trữ thông tin sinh trắc học cá nhân tách biệt khỏi thông tin cá nhân khác hay không?

Theo Điều 21 của Luật An toàn Dữ liệu Theo quy định77vin, quốc gia, khu vực, bộ phận và ngành nghề sẽ căn cứ vào mức độ quan trọng của dữ liệu do doanh nghiệp nắm giữ, cũng như mức độ ảnh hưởng gây ra nếu dữ liệu bị sửa đổi, phá hủy, rò rỉ hoặc bị truy cập trái phép hoặc sử dụng sai mục đích đến an ninh quốc gia, lợi ích công cộng hoặc quyền lợi hợp pháp của công dân hoặc tổ chức, để thực hiện bảo vệ phân cấp và phân loại dữ liệu. Đồng thời, nếu doanh nghiệp tham gia vào việc lưu trữ dữ liệu chính phủ, thì cần tăng cường bảo vệ an toàn dữ liệu, nâng cao yêu cầu an toàn lưu trữ dữ liệu, đảm bảo an toàn lưu trữ dữ liệu chính phủ. Điều 40 của Luật An toàn Dữ liệu ）。

Do đó77vin, doanh nghiệp nên tiến hành quét và phân loại toàn diện tài sản dữ liệu, Thiết lập danh sách bảo vệ tài sản dữ liệu Phân loại dữ liệu doanh nghiệpkeonhacai tv, đặc biệt là dữ liệu nhạy cảm, và thực hiện Phân loại và phân cấp dữ liệu Các cấp độ dữ liệu khác nhau được áp dụng các biện pháp quản lý an toàn và công nghệ tương ứng.

Sản xuất và sử dụng dữ liệu bao gồm nhưng không giới hạn ở các khâu sử dụng dữ liệukeonhacai tv, xử lý ủy thác, chia sẻ, chuyển nhượng, tiết lộ công khai, v.v.

Giai đoạn sản xuất và sử dụng dữ liệu là một trong những giai đoạn quan trọng nhất trong quản trị an toàn dữ liệu. Trong giai đoạn nàykeonhacai tv, dữ liệu dễ bị rò rỉ do các vấn đề sau:

(1) Lỗ hổng xác thực danh tính. Ví dụ như không thiết lập cơ chế xác thực cho các giao diện API và hệ thống ứng dụng truyền dữ liệu nhạy cảm77vin, hoặc cơ chế xác thực yếu, không sử dụng xác thực hai yếu tố, v.v.

(2) Phạm vi phơi bày dữ liệu nhạy cảm quá lớn. Ví dụ như giao diện tầng ứng dụng mà dữ liệu có thể bị truy cập bởi nhân viên nội bộ hoặc bên thứ ba bên ngoài;

(3) Tính dễ tổn thương trong phạm vi phơi bày dữ liệu nhạy cảm chưa được quản lý. Ví dụ như chưa làm mờ dữ liệu77vin, làm mờ dữ liệu không đúng quy định, thiếu cơ chế xác thực cho giao diện API, dữ liệu nhạy cảm được truyền ra không cần thiết hoặc quá nhiều, v.v.

(4) Quản lý quyền truy cập dữ liệu có thiếu sót. Ví dụ: phân bổ quyền truy cập dữ liệu theo nguyên tắc tối thiểu77vin, thực hiện chiến lược kiểm soát truy cập chi tiết (cấp trường).

(5) Quản lý tài khoản dữ liệu chưa hoàn thiện. Ví dụ: tài khoản có mật khẩu bị lộ hoặc đã bị phá vỡ77vin, tài khoản chung, tài khoản quyền lực chưa được thu hồi, v.v.;

(6) Chưa xây dựng cơ chế giám sát và kiểm toán. Ví dụ: nhận diện và giám sát hành vi truy cập dữ liệu bất thường và luồng dữ liệu bất thường77vin, cảnh báo;

Do đó, Doanh nghiệp nên tiến hành đánh giá toàn diện rủi ro dữ liệu định kỳ Báo cáo đánh giá rủi ro nên bao gồm các loại dữ liệu quan trọng mà tổ chức nắm giữ77vin, số lượng, tình hình thu thập, lưu trữ, xử lý và sử dụng dữ liệu, các rủi ro an toàn dữ liệu đang gặp phải cùng các biện pháp đối phó. Đặc biệt, đối với các nhà cung cấp dịch vụ xử lý dữ liệu quan trọng, Luật An Toàn Dữ Liệu sẽ yêu cầu bắt buộc thực hiện định kỳ đánh giá rủi ro và báo cáo cho cơ quan có thẩm quyền. Điều 30 của Luật An toàn Dữ liệu ）。

Nếu doanh nghiệp chịu trách nhiệm xử lý77vin, chia sẻ và chuyển nhượng dữ liệu chính phủ, thì doanh nghiệp phải nghiêm túc thực hiện nghĩa vụ bảo vệ an toàn dữ liệu vì doanh nghiệp phải trải qua kiểm tra của cơ quan nhà nước và chịu sự giám sát từ phía cơ quan này. Điều 40 của Luật An toàn Dữ liệu ）。

Luật An toàn Dữ liệu giới hạn phạm vi áp dụng của luật này đối với các hoạt động dữ liệu trong nước ( Điều 2 của Luật An toàn Dữ liệu Tuy nhiên77vin, dữ liệu là yếu tố sản xuất, sẽ tham gia tích cực vào các hoạt động sản xuất của xã hội. Vì vậy, Luật An Toàn Dữ Liệu cũng khuyến khích mạnh mẽ việc lưu thông dữ liệu xuyên biên giới. Tuy nhiên, Luật An Toàn Dữ Liệu đã đưa ra những yêu cầu nghiêm ngặt về lưu thông dữ liệu xuyên biên giới, tức là lưu thông dữ liệu xuyên biên giới an toàn và tự do. Điều 11 của Luật An toàn Dữ liệu )77vin, đồng thời áp dụng kiểm soát xuất khẩu đối với dữ liệu thuộc hàng hóa kiểm soát theo quy định pháp luật ( Điều 25 của Luật An toàn Dữ liệu ）。

Trên cơ sở này, Điều 36 của Luật An toàn Dữ liệu Luật còn giới hạn quyền lực thực thi pháp luật trong nước và ngoài nước đối với dữ liệu77vin, yêu cầu các cơ quan thực thi pháp luật nước ngoài muốn truy xuất dữ liệu lưu trữ trong lãnh thổ Trung Quốc phải báo cáo trước, sau đó được phê duyệt mới có thể cung cấp dữ liệu (trừ trường hợp được quy định bởi hiệp ước quốc tế).

Vì vậykqbd truc tuyen, đối với doanh nghiệp,Việc dữ liệu có thoát khỏi biên giới trong quá trình lưu thông hay khôngkqbd truc tuyen, việc thoát dữ liệu có phù hợp với quy định hay không, dữ liệu thoát có được mã hóa hay không, có dữ liệu quan trọng thoát ra hay không... Những rủi ro liên quan đến việc thoát dữ liệu là những điểm quan tâm hàng đầu của doanh nghiệp.Hơn nữakqbd truc tuyen, doanh nghiệp cần có khả năng phát hiện các rủi ro thoát dữ liệu nói trên, ví dụ như phân tích và giám sát lưu lượng dữ liệu nhạy cảm đang được truyền tải, các giao diện và hệ thống ứng dụng nhận và gửi dữ liệu, thiết lập cơ chế danh sách trắng cho dữ liệu thoát, khi phát hiện dữ liệu thoát trái phép có thể cảnh báo ngay lập tức.

Việc ban hành Luật An Toàn Dữ Liệu không chỉ cung cấp nhiều hướng dẫn kỹ thuật cho doanh nghiệp77vin, mà còn đưa ra nhiều yêu cầu về quản lý an toàn dữ liệu cho doanh nghiệp.

Trước hết, Doanh nghiệp nên thành lập người phụ trách an toàn dữ liệu và tổ chức quản lýkeonhacai tv, đảm bảo trách nhiệm bảo vệ an toàn dữ liệu, đặc biệt là các doanh nghiệp và đơn vị sự nghiệp nơi có dữ liệu quan trọng. Điều 27 của Luật An toàn Dữ liệu ）。

Thứ hai, Doanh nghiệp nên xây dựng hệ thống quản lý an toàn dữ liệu toàn quy trình77vin, ( Điều 27 của Luật An toàn Dữ liệu Các quy định này bao gồm kế hoạch tổng thể quản trị an toàn dữ liệukeonhacai tv, quy định phân loại và phân cấp dữ liệu, hệ thống kiểm toán an toàn dữ liệu, quy định hiển thị dữ liệu đã làm mờ, v.v.

Sau đó, Doanh nghiệp nên tổ chức các hoạt động đào tạo an toàn dữ liệu ( Điều 27 của Luật An toàn Dữ liệu Kết hợp an toàn dữ liệu vào hệ thống đào tạo và đánh giá của doanh nghiệp77vin, nâng cao nhận thức về an toàn dữ liệu để cải thiện toàn diện năng lực quản trị an toàn dữ liệu của doanh nghiệp.

Cuối cùng, Doanh nghiệp nên xây dựng cơ chế ứng phó sự cố an toàn dữ liệu và cơ chế truy xuất nguồn gốc rò rỉ dữ liệu. Trong Điều 23 của Luật An toàn Dữ liệu Quy địnhkeonhacai tv, Nhà nước sẽ thiết lập cơ chế ứng phó sự cố an toàn dữ liệu, kích hoạt kế hoạch ứng phó khẩn cấp an toàn dữ liệu khi xảy ra sự cố an toàn dữ liệu.

Tóm lại, Doanh nghiệp cũng nên xây dựng Cơ chế phản ứng khẩn cấp an toàn dữ liệu keonhacai tv, quan trọng hơn là xây dựng Cơ chế truy xuất nguồn gốc rò rỉ dữ liệu Khi xảy ra sự cố an toàn dữ liệukqbd truc tuyen, có thể kích hoạt kế hoạch ứng phó khẩn cấp, đặc biệt là có thể phân tích tự động các hiện tượng bất thường trong luồng dữ liệu lớp ứng dụng, hành vi truy cập bất thường của người dùng, tần suất truy cập dữ liệu bất thường, khối lượng dữ liệu truy cập bất thường, v.v., để nhanh chóng xác định nguồn rò rỉ dữ liệu và phạm vi ảnh hưởng của sự cố, giảm thiểu tối đa tác động tiêu cực đến tổ chức.

Luật An Toàn Dữ Liệu lần đầu tiên đưa ra định nghĩa rõ ràng về dữ liệukqbd truc tuyen, hoạt động dữ liệu và an toàn dữ liệu trên góc độ pháp luật, xác lập phạm vi giám sát và thực thi pháp luật của nhà nước về an toàn dữ liệu.

Luật An Toàn Dữ Liệu đã khẳng định vị trí cốt lõi của nền kinh tế dữ liệu trong nền kinh tế quốc dânkeonhacai tv, thúc đẩy vai trò không thể thay thế của dữ liệu như yếu tố sản xuất quan trọng trong quá trình sản xuất.

Trong thời đại dữ liệu lớnkeonhacai tv, bất kỳ doanh nghiệp nào hoặc đang thực hiện hoạt động kinh doanh đều cần dựa vào dữ liệu như một phương tiện truyền tải thông tin, đáp ứng nhu cầu kinh doanh và thực hiện chức nă Vì vậy,doanh nghiệp chỉ có thể xây dựng hệ thống an toàn dữ liệu hiệu quả và tuân thủ pháp luật nếu hiểu rõ các điểm then chốt về an toàn trong quá trình lưu thông dữ liệukqbd truc tuyen, bắt đầu từ cấp độ cơ bản để thực hiện quản trị an toàn dữ liệu.

Bài viết tiếp theokqbd truc tuyen, Công ty Toàn Tri sẽ giải thích cho bạn về việc thực thi giám sát và phát triển an toàn dữ liệu doanh nghiệp.